isa防火墙子公司.docVIP

MS LAB Q A 組員名單： 古新暉　李如真李富翔　沈憬耀邱彥瑜　鄭雲鴻黃維仁　邱國銘黃涵 Firewall Server Web Server Mail Server ISA防火牆(子公司) 企業網路架構 * 預定完成目標: 一.完成子公司防火牆建置及設定 二.建立VPN(PPTP)Client連線 三.子公司DC主機利用VPN Client加入ORZ.COM的子網域CHILD.ORZ.COM 四.建立VPN(L2TP)Client連線 五.啟用VPN Server 六.建立VPN(PPTP)Site to Site連線 七.建立VPN(L2TP)Site to Site連線 八.lab驗收 一．建立子公司防火牆 1. 首先確立內部子網域 2. 經由拓墣圖可知內部網路包含兩段網路及55 故將內部網路設定成 ~55 。 3. 接著開放網路規則: a. 開放HTTP、HTTPS、FTP流量 開放給內部、本機、及VPN用戶端至外部存取網頁。 b. 發布內部DNS主機使外部能查詢內部的DNS主機 二．建立VPN(PPTP)Client連線 1. 建立VPN(PPTP)Client的連線，準備讓子公司DC新建子網域，此時子公司的網路剛建立完成，尚未加入網域。 2. 開放VPN(PPTP) Client至外部規則: 接著就可以讓DC主機使用VPN(PPTP) Client連線至總公司，並建立子網域CHILD.ORZ.COM 連線畫面 3. 建立VPN(L2TP)Client連線 a. 要使內部網路使用VPN(L2TP)Client，還要再另外開放規則， 其中L2TP是進行連線通訊協定，IKE用戶端是憑證驗證的通訊協定，IPSec是預先金鑰(雙方先設定一組共通的密碼)驗證的通訊協定，如要使用L2TP，用戶端就要先向總公司申請憑證才能連線。用戶端透過VPN(PPTP)連線至CA申請。 遇到的困難及問題 * 一開始並不曉得要如何開放規則如IKE 用戶端，經由ISA防火牆的監視功能，才得知防火牆檔下IKE流量，而在WINDOWS 2003中存在ㄧ個BUG使得L2TP無法連線，經由戴有煒老師協助透過修改機碼，使得L2TP得以成功連線。 四.啟用VPN Server 啟用VPN Server，使外部的員工可以透過VPN(PPTP)Client 2. 由於分公司ISA防火牆沒有加入網域，故需要透過內部的IAS(網際網路驗證伺服器)驗證使用者，啟用RADIUS驗證: 3. 將RADIUS Server指向 IAS()，設定一組共用機密是要和IAS的機密一樣。 4. 我們使用內部的網路的DHCP來分派IP 5. 接著要發佈DHCP Relay 使VPN用戶端能取得DHCP的服務 6. 除了發佈之外還要開啟ISA Server 的路由及遠端存取。 7. 路由及遠端存取中新增DHCP轉接代理 位址設內部的DHCP Server() 指定在內部(內部是指本機)執行DHCP Relay 8. 重新啟動ISA Server 9. 接著設定IAS主機()將IAS用戶端指向ISAServer()，並設定驗證使用者為CHILD.ORZ.COM/sales(讓sales群組可透過VPN連線並存取內部網路)。 六.建立VPN(PPTP)Site To Site連線 1. 建立VPN(PPTP)Site To Site連線時要先建立一個對方的網路 2. 並設定要決定用哪個帳號連線(對方要有該帳號) 3. 接著設定對方的內部網路位址，使得連線後會使ISA Server的VPN位址會是在總公司內部() 4. 接著新增網路規則讓總公司及分公司的內部網路在撥通後已路由的方式連接。 5. 在規則中加入允許綜公司及子公司內部互通(規則第3條) 6. 接著在ISA Server的路由及遠端存取中會看到剛剛在ISA上的設定 按右鍵選取連線即可 8. 如果要讓總公司撥入，那就要在子公司的AD中新增帳號main，讓總公司可用main的帳號名來連線。 遇到的困難及問題 * VPN(PPTP)Site To Site的問題通常是帳號驗證失敗 帳號的建立是相對的，例如 總公司 網路名:branch 帳號名:main AD新增帳號:branch 分公司 網路名:main 帳號名:branch AD新增帳號:main 意思是建立對方的網路名稱(branch)，要用自己的名稱(main)來撥號，而對方要先把你的帳號(main)先建好，撥號才會成功。 七. 建立VPN(L2TP)Site to Site連線 1. 建立完Site To Site(PPT